Versionsverwaltung: GitHub überarbeitet Dependabot Alerts
Das GitHub-Werkzeug Dependabot spürt Sicherheitslücken auf und gibt entsprechende Warnungen aus. Diese sollen nun verständlicher und leichter zugänglich sein.
(Bild: Anastasiia Skorobogatova/Shutterstock.com)
GitHub hat seinen Abhängigkeiten-Scanner Dependabot überarbeitet, um die Bedienung zu vereinfachen. Unter anderem sollen Dependabot Alerts, die von dem Tool ausgegebenen Sicherheitswarnungen, nun verständlicher und leichter durchsuchbar sein. Zudem sind für Enterprise-Kunden unter Verwendung von GitHub Advanced Security alle Dependabot-Warnungen auf dem Organisationslevel neuerdings im Organization Security-Tab sichtbar. Dependabot Alerts und Pull Requests auf dem Repository-Level sollen hingegen für immer kostenfrei zugänglich bleiben, versichert GitHub.
Neuerungen für Dependabot Alerts
Dependabot Alerts erscheinen nun nicht mehr nach Paketen gruppiert, sondern es taucht ein Alert pro Advisory und Dependency Manifest auf. Somit sollen die einzelnen Alerts mehr Informationen auf einen Blick preisgeben können. Dazu zählen aussagekräftigere Alert-Titel, detaillierte Informationen zur Schwere der Sicherheitslücke und aktualisierte Informationen über damit zusammenhängende Pull Requests. Auch nachdem ein Alert behoben wurde, bleibt dieser weiterhin im Closed-Tab im User Interface sichtbar. Künftig soll es möglich sein, verworfene Alerts erneut zu öffnen.
(Bild: Microsoft)
Zudem soll die Suche nach Dependabot Alerts dadurch vereinfacht sein, dass jeder Alert einen eindeutigen numerischen Identifier aufweist. Dieser soll bald zusätzlich mittels GraphQL-API abrufbar sein. Die Alert-Indexseite bietet zudem neue Optionen zum Filtern inklusive einer Volltextsuche innerhalb der Warnungen.
Funktionsweise des Dependency-Scanners
Im Jahr 2019 akquirierte GitHub das Werkzeug Dependabot und integrierte es in seine Plattform. Dependabot soll Warnungen für Repositories auswerfen, wenn Sicherheitslücken in Dependencies auftreten. Die Informationen darüber bezieht Dependabot aus verschiedenen Quellen, etwa aus der GitHub Advisory Database. Diese Datenbank besteht aus einer Liste von Sicherheitslücken, die danach kategorisiert sind, ob GitHub sie einer Review unterzogen hat oder nicht. Nur die Sicherheitslücken mit erfolgter GitHub-Review fließen in den Dependabot ein.
Eine weitere Informationsquelle für Dependabot ist der Dependency Graph. Wenn dieser Änderungen in einem Repository anzeigt, erscheint ebenfalls eine Dependabot-Warnung. Als eine solche Änderung gilt beispielsweise, wenn sich der Code einer der Dependencies ändert.
Weitere Informationen zur Funktionsweise des Dependabot sind der Dokumentation zu entnehmen. Die aktuellen Neuerungen zeigt ein GitHub-Blogeintrag.
(mai)
